Riesgos

Apunte de referencias
Parte 1

Profesor Sr Carlos Valdivieso Valenzuela

Introduccin
Este apunte se ha preparado para ayudar en labores acadmicas.
La palabra riesgos ha aparecido para quedarse desde hace ya aos.
Se puede encontrar en: libros, documentos normativos, frameworks,
etc., tanto en Chile como en el extranjero. Son muchas pginas, a
veces en trminos ridos, donde cuesta visualizar en trminos
simples los conceptos bsicos.
La mayora de las publicaciones est en ingls.
Al escribir este apunte sencillo en este tema al cual he estado ligado
por unos 20 aos tanto profesional como acadmicamente,
pretendo citar definiciones y usos cuyas referencias se indican para
que los alumnos tengan un marco de contexto que les facilite sus
lecturas y anlisis; es por tanto algo introductorio que no tiene otra
ambicin; de ah que este documento se llama simplemente
Apunte.
Nota : La ISO 31.000 y la Gua 73 se pueden comprar en la direccin
que indico

UNIDAD VENTA DE NORMAS - INN

Matas Cousio 64 - Piso 5 - Santiago Centro - Chile
Horario de atencin: Lunes a Viernes de 9:00 a 16.30 horas, horario continuado

ALGUNAS DEFINICIONES
Riesgo Efecto de la incertidumbre sobre los objetivos
Nota 1 Un efecto es una desviacin positiva y / o negativa respecto
a lo previsto
Nota 2 Los objetivos pueden tener diferentes aspectos ( tales como
financieros, de salud y de seguridad o ambientales ) y se pueden
aplicar a diferentes niveles ( tales como ,nivel estratgico, nivel de
un proyecto , de un producto, de un proceso o de una organizacin
completa.
Fuente : Gua 73 de ISO 31.000
___________________________________________
Comentarios
1. Antes se asociaba riesgos slo a prdidas y aspectos negativos; hoy
tambin involucra desviaciones positivas las que deben evaluarse.
Riesgos aparece asociado con los objetivos de la empresa; el orden es
Misin, de ah derivan los objetivos y de ah los riesgos primarios, los
subjetivos los riesgos secundarios, los factores de riesgos, los eventos de
riesgos y las actividades de control
Sin asumir riesgos, suele no haber negocios
Fuente profesor Carlos Valdivieso

ALGUNAS DEFINICIONES
Gestin de riesgos Actividades coordinadas para dirigir y
controlar una organizacin en lo relativo al riesgo.
Fuente : Gua 73 de ISO 31.000
Proceso de gestin de riesgos Aplicacin sistemtica de
polticas, procedimientos y prcticas de gestin a las actividades de
comunicacin , consulta, establecimiento del contexto e
identificacin , anlisis , valoracin , tratamiento , monitoreo y
revisin del riesgo
Fuente : Gua 73 de ISO 31.000
__________________________________- Comentarios
Concepto de proceso como una secuencia de actividades que tienen
un producto , teniendo sistematizacin , etapas, roles, sistemas y
encargados, ej. proceso de crdito hipotecario. El concepto de
proceso tuvo su origen hace aos en Ingeniera Qumica.
Gestin de riesgos debe administrarse como un proceso que tiene
que estar documentado.
Fuente profesor Carlos Valdivieso
4

ALGUNAS DEFINICIONES
Poltica de gestin de riesgos. "Declaracin de intenciones y
orientaciones globales de una organizacin en relacin con la
gestin del riesgo.
Fuente : Gua 73 de ISO 31.000
Comentarios
Debe estar por escrito y preferentemente aprobada por el
Directorio.
Requiere sea conocida por todo el personal.
Est en la base de la Administracin de la Empresa.
Fuente profesor Carlos Valdivieso

ALGUNAS DEFINICIONES
Apetito de riesgo. cantidad y tipo de riesgo que una
organizacin est dispuesta a buscar o retener
Fuente : Gua 73 de ISO 31.000
Comentarios
Debe ser cuantitativo y para cada riesgo primario , ejemplo . Una
Compaa de Seguros de Vida puede definir que NO tiene apetito de
riesgo en tener inversiones en Renta Variable ( acciones ) y otra que
s tiene apetito con este riesgo y por tanto invierte en acciones.
Aquella que invierte acota su apetito por ejemplo hasta el 10 % de
sus inversiones .
La tolerancia suele ( no siempre ) cuantificar hasta cunto puede
exceder el lmite fijado; ej. hasta 12 %
Si no se cuantifica para cada riesgo, el apetito , no da luces y
dificulta su control.
He ayudado a definir apetitos para todos los riesgos primarios y he
visto cmo el Comit de Riesgos revisa cada cierto tiempo los
apetitos reales. Esto es necesario y posible.
Fuente profesor Carlos Valdivieso
6

ALGUNAS DEFINICIONES
Matriz de Riesgos
Herramienta que permite clasificar y visualizar los riesgos
mediante la definicin de categoras de consecuencias y de su
probabilidad
Fuente : Gua 73 de ISO 31.000
Comentarios
La definicin est para entendidos, es ms simple recordar lo que es
una matriz, son filas y columnas, en las filas estn los riesgos
primarios y en las columnas los secundarios, luego se definen y se
pesan.
Lo importante es que cada empresa defina sus riesgos primarios y
los secundarios.
Se acompaa un ejemplo terico de un banco; el Excel es uno que
uso en clases.
Fuente profesor Carlos Valdivieso

ALGUNAS DEFINICIONES
Matriz de Riesgos
Va un ejercicio de matriz terica para darse una idea de un Banco X:
en la primera fila van los riesgos primarios, en las columnas los
secundarios y en cada un de estos deben luego explicitarse los
elementos de riesgos.
La valorizacin requiere de una metodologa que veremos en clase; por
ahora son valores inventados; todo lo cual debe dar 100%
Por mientras, lo importante es que se queden con una idea lo ms
clara posible de lo que es una Matriz de Riesgos.
Para abrir el excel pongan tecla Esc y luego abran ; o sea, no lo pueden
hacer con pantalla completa.
Fuente : Profesor Carlos Valdivieso
Hoja de clculo
de Microsoft Excel 97-200

VEAMOS OTRA LISTA DE RIESGOS

Ejemplo la de SVS en su Norma de Carcter General 325 para
Compaas de Seguros.
http://www.svs.gob.cl/normativa/ncg_325_2011.pdf
Otro ejemplo de SVS en su Norma de Carcter General 309 para
Compaas de Seguros.
http://www.svs.cl/normativa/ncg_309_2011.pdf
Otro ejemplo es el Comit de Basilea para Bancos cuando tiene tres
categoras de riesgos primarios :Crdito, Mercado y Operacional y
este lo desglosa.
http://sbif.cl/sbifweb/internet/archivos/publicacion_8511.pdf
Veremos en clases ejercicios de cada cual en funcin de la empresa
en que trabajan que hagan un intento inicial de su Matriz de
Riesgos.

10

ALGUNAS DEFINICIONES
Riesgo residual
Riesgo remanente despus del tratamiento del riesgo
Fuente : Gua 73 de ISO 31.000
Comentarios
Es el que queda despus de aplicar los controles; suele llamarse
riesgo no mitigado.
Veremos en clases un modelo cuantitativo para pesar los riesgos, los
procesos, los eventos de riesgos y los controles.
Como resultado, se obtiene un riesgo residual cuantitativo de cada
proceso y consolidadamente de la empresa como un todo.
Ej. el riesgo residual total es 18 %
Fuente profesor Carlos Valdivieso

10

11

ALGUNAS DEFINICIONES
Monitoreo
Verificacin, supervisin ,observacin crtica o determinacin del
estado con objeto de identificar de una manera continua los cambios
que se pueden producir en el nivel de desempeo requerido o
esperado
Fuente : Gua 73 de ISO 31.000
Comentarios
Es cada vez ms indispensable hacerlo con aplicaciones
informticas.
Ej. un Banco mediano en Chile suele tener unas 5 millones de
transacciones computacionales diarias.
Segn consult directamente a un conocido mo brasilero , el que
tiene ms en Latinoamrica es un Banco brasilero que tiene unas
100 millones de transacciones computacionales diarias.
Hacer un monitoreo eficiente, requiere y as lo usan ah, de una
aplicacin informtica.
Fuente profesor Carlos Valdivieso

11

12

ALGUNAS DEFINICIONES
Auditora de la gestin del riesgo
Proceso sistemtico, independiente y documentado destinado a
obtener evidencias y evaluarlas objetivamente a fin de determinar el
grado de adecuacin y de eficacia del marco de trabajo de la gestin
del riesgo
Fuente : Gua 73 de ISO 31.000
Comentarios
Es indispensable tener de auditor en cada proceso a alguien que lo
conozca bien.
Es recomendable tener levantados los mapas de riesgo, los eventos
de riesgos y los controles.
Mi experiencia es que, para un mayor alcance se recomienda el
autocontrol y revisiones selectivas de auditora sobre esos
autocontroles.
Fuente profesor Carlos Valdivieso
12

13

COSO 2013 Y COSO ERM 2004 Y LOS RIESGOS

Ambos son complementarios.
COSO ERM tiene mejor enfoque y amplitud para riesgos,
incluyendo la respuesta a los riesgos.
COSO si bien trata los riesgos ,es mejor solucin para el control
interno.
Fuente profesor Carlos Valdivieso

13

14

COSO ERM Y COSO

COSO ERM ( 2004 )

COSO ( 2013 )

14

COSO 2013 Y SUS PRINCIPIOS DE RIESGO( MARCADOS CON ROJO )

Control Environment

Ambiente de Control

Risk Assessment

Evaluacin de Riesgos
Control Activities

Actividades de Control
Information & Communication

Informacin y Comunicacin
Monitoring Activities

Monitoreo de Actividades

1.Demonstrates commitment to integrity and ethical values

2.Exercises oversight responsibility
3.Establishes structure, authority and responsibility
4.Demonstrates commitment to competence
5.Enforces accountability
6.Specifies suitable objectives
7.Identifies and analyzes risk
8.Assesses fraud risk
9.Identifies and analyzes significant change
10.Selects and develops control activities
11. Selects and develops general controls over technology
12.Deploys through policies and procedures
13.Uses relevant information
14.Communicates internally
15.Communicates externally
16.Conducts ongoing and/or separate evaluations
17.Evaluates and communicates deficiencies
15

COSO 2013 Y SUS PRINCIPIOS DE RIESGO

( MAYOR DETALLE )

Risk Assessment

6. The organization specifies objectives with

sufficient clarity to enable the identification and
assessment of risks relating to objectives.
7. The organization identifies risks to the
achievement of its objectives across the entity
and analyzes risks as a basis for determining
how the risks should be managed.
8. The organization considers the potential for
fraud in assessing risks to the achievement of
objectives.
9. The organization identifies and assesses
changes that could significantly impact the
system of internal control.
16

17

PRINCIPALES CAMBIOS EN LA EVALUACIN DE RIESGOS

RESPECTO A COSO 1992
La identificacin de los objetivos relevantes, es una
precondicin para la evaluacin de riesgos .El orden es MISIN,
y objetivos para cumplir la Misin . De dichos objetivos derivan los
primeros riesgos.
Establece la relacin de los riesgos con las
operaciones , informes y cumplimiento ( compliance)
Especifica que deben contemplarse la identificacin
de los riesgos, el anlisis y sus respuestas .
Incluye las tolerancias al riesgo, como prerequisito.
Contempla que deben entenderse los cambios significativos
tanto de origen interno como externo y sus relaciones con los
sistemas de control interno.
Considera el riesgo de fraude y sus relaciones con los informes ,
como parte de la administracin de riesgos.

17

18

COSO ERM
Data del ao 2004 , su definicin dice:
The Enterprise Risk ManagementIntegrated Framework
defines enterprise risk management as a process, effected by an
entitys board of directors, management and other personnel,
applied in strategy setting and across the enterprise, designed to
identify potential events that may affect the entity, and to manage
risk to be within its risk appetite, to provide reasonable assurance
regarding the achievement of entity objectives
Comentarios
Pone nfasis en la estrategia, la identificacin de los
riesgos, su administracin como un proceso, el
establecimiento de los apetitos de riesgos y lograr la
seguridad razonable para alcanzar los objetivos.
18

19

COSO ERM Y COSO-RELACIONES

COSO ERM es fundamentalmente para Administracin de riesgos,
incluyendo a COSO en lo relativo a Control interno.
COSO ERM es ms amplio que COSO incluye las estrategias ( parte superior
del cubo ) como algo previo y a un nivel superior y su relacin con los
objetivos de la empresa y tiene que ver con la misin y visin de la
empresa. COSO no se involucra con las estrategias.
En COSO ERM,debe determinarse los apetitos de riesgos y la
tolerancia.Esto debe hacerse en forma precisa.
COSO ERM incluye una desagregacin de los objetivos estratgicos para
llegar a objetivos funcionales, pero relacionados con los estratgicos; COSO
no lo hace.
En COSO ERM, en event identification, conviene hacer un anlisis FODA
para a visualizar aspectos positivos que pueden ayudar en los negocios
como las amenazas y posibles cursos de accin.
En COSO ERM, risk response ( respuesta a riesgos ) se relaciona con
separar riesgos en : evitar, transferir y administrar.
19

20

COSO ERM Y COSO-RELACIONES

En risk response, debe tenerse con precisin como se atiende cada
riesgo y esto tiene que ver con los controles; COSO es ms general.
En Risk assessment, debe determinarse los riesgos y trabajar con
metodologas de riesgo inherente y riesgo residual .COSO no tiene
este foco detallado.
En entorno de control COSO ERM menciona el rol de los Directores
independientes.
COSO ERM trabaja con riesgos interrelacionados; COSO no lo
menciona.
COSO es ms amplio en control de actividades y las relaciones con
tecnologa.
En informacin y comunicaciones COSO ERM tiene un enfoque ms
amplio y de gestin, incluyendo proyecciones. COSO es ms fuerte
en la calidad y precisin de la informacin.
En monitoreo ,COSO ERM incluye ms precisin e involucra a entes
externos.
20

21

COSO ERM Y RISK RESPONSE ( Respuestas )

COSO ERM agrega un elemento que es las respuestas a los riesgos.
Esto significa que formulados los riesgos primarios , conviene
desagregarlos en eventos de riesgos y determinar lo que se acepta y
lo que no se acepta y de lo que se acepta, qu se transfiere y lo que
se mitiga.
De lo que se mitiga , para cada evento de riesgo debe haber uno o
ms controles, verificando su existencia y funcionamiento.
Mi consejo y experiencia es trabajar conjuntamente con COSO y
COSO ERM.
COSO es ms profundo en Control Interno y COSO ERM en
administracin y control de riesgos.
21

22

APETITO DE RIESGO Y TOLERANCIA AL RIESGO

COSO ERM es explcito.
El apetito de riesgo debe cuantificarse por cada riesgo; ya lo vimos.
Este es un punto sustantivo para un Auditor Interno, revisar que
todos los riesgos primarios de la Matriz de Riesgos tengan sus
apetitos y tolerancias establecidos y revisar su existencia y
cumplimiento, informando, usualmente al Comit de Auditora.

22

23

RIESGOS Y UBICACIN DE CONTEXTO

El tema es parte del Gobierno Corporativo.
Se recomienda comprar la ISO 31.000
Veremos y analizaremos en clase algunas diapositivas de contexto y
cmo se inscribe el tema de riesgos.
Con la ISO 31.000 pueden hacer un levantamiento de cada punto,
la comparacin con la situacin existente y los planes de accin.

23

24

TRES ENTIDADES RELACIONADAS

Adm y
Control
de
Riesgos

ISO
31.000

MATRIZ
de
Riesgos

Ayudan al
Gobierno Corporativo
Fuente Profesor Carlos Valdivieso
24

25

Fuente: ISO 31000 Traduccin libre al espaol del profesor

25

DONDE

EN TERRENO

MONITOREO

Visin Contable

AUTOCONTROL

INCIDENTES

ENFOQUE

AUDIRE

EXTENSIN

Visin
de Procesos

Fuente: Profesor Sr Valdivieso

Visin de
RRHH

Visin de
Clientes
Visin de
Entorno de Control

26

27

Ranking IIA 2013- Analicemos en clases porqu en Latinoamrica

Riesgos ocupa este lugar a diferencia del resto del mundo.
Aqu hay un tema pendiente

27

28

PARA COMPARTIR EXPERIENCIAS EN CLASES

1.

2.

3.
4.
5.
6.
7.
8.

La Administracin de riesgos no es ni una ciencia ni una tcnica

que de certeza :los negocios y la naturaleza humana tienen de
imprevisible; con todo, da una gua de navegacin.
La cultura de la empresa en administracin de riesgos es esencial,
empezando desde el Directorio con sus definiciones y polticas
escritas.
La parte tica ayuda y mucho.
Los incentivos econmicos deben estar alineados con la
administracin de riesgos.
Cada Gerencia y sus unidades deben manejar y controlar sus
riesgos.
El riesgo financiero incluyendo derivados, ha mostrado en la
historia, grandes prdidas; debe tenerse lmites y controlarse.
La segregacin de funciones entre lo comercial, lo operativo y la
auditora interna son indispensables.
Use los frameworks : COSO- COSO ERM-ISO 31.000 y otros como
ayudas, pero las decisiones las toman seres humanos.
28